Windows主机操作系统加固规范VWord文件下载.docx
《Windows主机操作系统加固规范VWord文件下载.docx》由会员分享,可在线阅读,更多相关《Windows主机操作系统加固规范VWord文件下载.docx(33页珍藏版)》请在冰豆网上搜索。
部分操作可能无法回退。
判断依据
查看账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。
根据系统的要求和实际业务情况判断是否符合要求。
实施风险
高
重要等级
★★★
备注
1.1.2SHG-Windows-01-01-02
SHG-Windows-01-01-02
系统无效帐户清理
删除或锁定与设备运行、维护等与工作无关的账号,提高系统帐户安全。
如果不清理无效帐户,则系统将面临默认账号被非法利用的风险
记录当前用户状态,备份系统SAM文件。
删除或锁定与设备运行、维护等与工作无关的账号。
增加被删除的用户,激活被锁定的用户,还原用户权限到初始设置。
查看是否删除或锁定与设备运行、维护等与工作无关的账号。
根据系统的要求和实际业务情况判断是否符合要求
1.1.3SHG-Windows-01-01-03
SHG-Windows-01-01-03
重命名Administrator,禁用GUEST
对于管理员帐号,要求更改缺省帐户名称;
禁用guest(来宾)帐号。
提高系统安全性。
管理员帐号容易被猜解;
Guest账号容易被非法利用
Administrator->
属性->
更改名称
Guest帐号->
已停用
重命名用户名称,还原用户属性设置
查看管理员账号Administrator名称是否修改,Guest账号是否禁用。
低
★
1.2口令
1.2.1SHG-Windows-01-02-01
SHG-Windows-01-02-01
配置密码策略
设置密码策略,减少密码安全风险;
防止系统弱口令的存在,减少安全隐患。
对于采用静态口令认证技术的设备,口令长度至少6位,且密码规则至少应采用字母(大小写穿插)加数字加标点符号(包括通配符)的方式。
增加系统密码被暴力破解的成功率
本地安全策略”,在“帐户策略->
密码策略”:
记录当前密码策略情况。
密码策略”。
“密码必须符合复杂性要求”选择“已启动”设置如下策略
策略
默认设置
推荐最低设置
强制执行密码历史记录
记住1个密码
记住5个密码
密码最长期限
42天
90天
密码最短期限
0天
2天
最短密码长度
0个字符
8个字符
密码必须符合复杂性要求
禁用
启用
为域中所有用户使用可还原的加密来储存密码
还原密码策略到加固之前配置
查看“密码必须符合复杂性要求”是否选择“已启动”。
1.2.2SHG-Windows-01-02-02
SHG-Windows-01-02-02
配置账户锁定策略
设置有效的账户锁定策略有助于防止攻击者猜出系统账户的密码。
账户锁定策略”:
记录当前账户锁定策略情况。
账户锁定策略”。
设置如下策略:
账户锁定时间
未定义
30分钟
账户锁定阈值
6次无效登录
复位账户锁定计数器
还原账户锁定策略到加固之前配置
查看安全策略是否设置为已启动和按要求配置。
1.3授权
1.3.1SHG-Windows-01-03-01
SHG-Windows-01-03-01
远端系统强制关机设置
防止远程用户非法关机,在本地安全设置中从远端系统强制关机只指派给Administrators组
增加系统被管理员以外的用户非法关闭的风险
本地安全策略”,在“本地策略->
用户权利指派”:
查看并记录“从远端系统强制关机”的当前设置。
用户权利指派”。
“从远端系统强制关机”设置为“只指派给Administrators组”。
还原“从远端系统强制关机”的设置到加固之前配置。
查看“从远端系统强制关机”是否设置为“只指派给Administrators组”。
1.3.2SHG-Windows-01-03-02
SHG-Windows-01-03-02
关闭系统设置
防止管理员以外的用户非法关机,在本地安全设置中关闭系统仅指派给Administrators组
查看并记录“关闭系统”的当前设置。
“关闭系统”设置为“只指派给Administrators组”。
还原“关闭系统”的设置到加固之前配置
查看“关闭系统”是否设置为“只指派给Administrators组”。
1.3.3SHG-Windows-01-03-03
SHG-Windows-01-03-03
“取得文件或其它对象的所有权”设置
防止用户非法获取文件,在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators
增加系统除管理员以外的用户非法获取文件的风险
查看并记录“取得文件或其它对象的所有权”的当前设置。
“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。
还原“取得文件或其它对象的所有权”的设置到加固之前配置
用户权利指派”:
查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。
1.3.4SHG-Windows-01-03-04
SHG-Windows-01-03-04
“从本地登陆此计算机”设置
防止用户非法登录主机,在本地安全设置中配置指定授权用户允许本地登陆此计算机
增加物理临近攻击和本地物理攻击以及非授权用户非法登陆主机的风险
查看并记录“从本地登陆此计算机”的当前设置。
用户权利指派”
“从本地登陆此计算机”设置为“指定授权用户”
还原“从本地登陆此计算机”的设置到加固之前配置
查看是否“从本地登陆此计算机”设置为“指定授权用户”。
1.3.5SHG-Windows-01-03-05
SHG-Windows-01-03-05
“从网络访问此计算机”设置
防止网络用户非法访问主机,在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
增加非授权用户非法访问主机的风险
查看并记录“从网络访问此计算机”的当前设置。
1、参考配置操作
“从网络访问此计算机”设置为“指定授权用户”
还原“从网络访问此计算机”的设置到加固之前配置
查看是否“从网络访问此计算机”设置为“指定授权用户”。
2日志配置
2.1.1SHG-Windows-02-01-01
SHG-Windows-02-01-01
审核策略设置
设置审核策略,记录系统重要的事件日志,设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址
无法对用户的登陆以及登陆后对系统的操作过程、特权使用等进行日志记录
本地安全策略”,查看并记录“审核策略”的当前设置。
开始->
运行->
执行“控制面板->
本地安全策略->
审核策略”
审核登录事件,双击,设置为成功和失败都审核。
“审核策略更改”设置为“成功”和“失败”都要审核
“审核对象访问”设置为“成功”和“失败”都要审核
“审核目录服务器访问”设置为“成功”和“失败”都要审核
“审核特权使用”设置为“成功”和“失败”都要审核
“审核系统事件”设置为“成功”和“失败”都要审核
“审核账户管理”设置为“成功”和“失败”都要审核
“审核过程追踪”设置为“失败”需要审核
还原“审核策略”的设置到加固之前配置
审核策略”:
查看是否设置为成功和失败都审核。
2.1.2SHG-Windows-02-01-02
SHG-Windows-02-01-02
日志记录策略设置
优化系统日志记录,防止日志溢出。
设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件
如果日志的大小超过系统默认设置,则无法正常记录超过最大记录值后的所有系统日志、应用日志、安全日志等
事件查看器”,查看并记录“应用日志”、“系统日志”、“安全日志”的当前设置
事件查看器”,在“事件查看器(本地)”中:
“应用日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
“系统日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
还原“应用日志”、“系统日志”、“安全日志”的设置到加固之前配置
查看各项日志属性中日志大小是否设置为不小于“8192KB”,是否设置当达到最大的日志尺寸时,“按需要改写事件”。
3通信协议
3.1IP协议安全
3.1.1SHG-Windows-03-01-01
SHG-Windows-03-01-01
启用TCP/IP筛选
过滤不必要的端口,提高系统安全性,对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议
如不有效过滤系统中存在的不必要的端口以及默认的端口会增加潜在被攻击和非法利用的安全风险
进入“控制面板->
网络连接->
本地连接”,进入“Internet协议(TCP/IP)属性->
高级TCP/IP设置”,在“选项”的属性中查看“网络连接上的TCP/IP筛选”的状态,并记录
系统管理员出示业务所需端口列表。
根据列表只开放系统与业务所需端口。
高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。
还原高级TCP/IP的设置到加固之前配置
高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,查看是否只开放业务所需要的TCP,UDP端口和IP协议。
利用Netstat–an命令查看当前系统开放端口是否与系统管理员所出示的业务所需端口列表相对应;
如发现存在与业务和应用无关的端口,则查明后在TPC/IP筛选配置中将其过滤掉。
3.1.2SHG-Windows-03-01-02
开启系统防火墙
启用WindowsXP和Windows2003自带防火墙,过滤不必要的端口,提高系统安全性。
根据业务需要限定允许访问网络的应用程序和允许远程登陆该设备的IP地址范围。
没有访问控制,系统可能被非法登陆或使用,从而增加潜在被攻击的安全风险
本地连接”,在高级选项的属性中查看Windows防火墙的状态,并记录详细情况。
本地连接”,在高级选项的设置中:
启用Windows防火墙。
在“例外”中配置允许业务所需的程序接入网络。
在“例外->
编辑->
更改范围”编辑允许接入的网络地址范围。
还原高级系统防火墙设置到加固之前配置。
本地连接”,在高级选项的设置中,查看是否启用Windows防火墙。
查看是否在“例外”中配置允许业务所需的程序接入网络。
查看是否在“例外->
3.1.3SHG-Windows-03-01-03
SHG-Windows-03-01-03
启用SYN攻击保护
启用SYN攻击保护,提高系统安全性;
指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;
指定处于SYN_RCVD状态的TCP连接数的阈值为500;
指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。
如不启用SYN攻击保护,系统则容易被SYN拒绝服务攻击后导致迅速当机。
在“开始->
键入regedit”
查看并记录注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services、SynAttackProtect的值并记录。
查看并记录注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。
TcpMaxPortsExhausted
TcpMaxHalfOpen
TcpMaxHalfOpenRetried
的值并记录
启用SYN攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。
值名称:
SynAttackProtect。
推荐值:
2。
以下部分中的所有项和值均位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。
指定必须在触发SYNflood保护之前超过的TCP连接请求阈值。
TcpMaxPortsExhausted。
5。
启用SynAttackProtect后,该值指定SYN_RCVD状态中的TCP连接阈值,超过SynAttackProtect时,触发SYNflood保护。
TcpMaxHalfOpen。
推荐值数据:
500。
启用SynAttackProtect后,指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值。
超过SynAttackProtect时,触发SYNflood保护。
TcpMaxHalfOpenRetried。
400。
还原注册表设置到加固之前配置
在开始->
运行里输入regedit,进入注册表中打开相应的注册项,查看键值是否已启用和配置,各注册表键值是否均按要求设置。
4设备其他安全要求
4.1屏幕保护
4.1.1SHG-Windows-04-01-01
SHG-Windows-04-01-01
启用屏幕保护程序
启用屏幕保护程序,防止管理员忘记锁定机器被非法攻击;
设置带密码的屏幕保护,并将时间设定为5分钟
如未启动屏幕保护并采用密码恢复,一旦管理员操作系统后忘记锁定主机,则容易被非法攻击,以及增加本地物理临近攻击的风险。
显示->
屏幕保护程序”:
查看是否启用屏幕保护程序并记录当前的设置
启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。
还原屏幕保护程序设置到加固之前配置。
查看是否启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。
在系统桌面上点击鼠标右键,打开属性,查看屏幕保护程序选项是否已启动和配置。
4.1.2SHG-Windows-04-01-02
SHG-Windows-04-01-02
设置Microsoft网络服务器挂起时间
设置Microsoft网络服务器挂起时间,防止管理员忘记锁定机器被非法利用;
对于远程登陆的帐号,设置不活动断连时间15分钟
管理员忘记锁定而被非法利用
安全选项”:
查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。
“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。
还原“挂起会话之前所需的空闲时间”设置到加固之前配置
4.2共享文件夹及访问权限
4.2.1SHG-Windows-04-02-01
SHG-Windows-04-02-01
关闭默认共享
非域环境中,关闭Windows硬盘默认共
升级会员 